| +11 голос |
|
Аналитики «Лаборатории Каперского» обнаружили зловред Roaming Mantis, который поначалу атаковал преимущественно пользователей азиатско-тихоокеанского региона, однако теперь достаточно быстро стал распространяться по миру.
Зловред использует взломанные Wi-Fi роутеры, чтобы заражать смартфоны и планшеты на Android, перенаправлять устройства на iOS на фишинговый сайт и запускать майнинговый скрипт CoinHive на десктопах и ноутбуках. Для всего этого он применяет DNS hijacking – подмену DNS, поэтому довольно сложно заметить, что что-то идет не так.
Создатели Roaming Mantis прописывают в настройках скомпрометированных роутеров свои адреса DNS-серверов. После этого, что бы пользователь ни набрал в адресной строке браузера на подключенном к данному роутеру устройстве, его перенаправят на вредоносный сайт.
После того как пользователь был перенаправлен на вредоносный сайт, выводится предупреждение о том, что ему следует обновить браузер. После этого начинается загрузка вредоносного приложения с именем chrome.apk (также существует версия с именем facebook.apk).
В процессе установки зловред запрашивает уйму различных разрешений – в том числе на доступ к информации об аккаунтах, получение и отправку SMS и обработку голосовых звонков, запись аудио, доступ к файлам, отображение своего окна поверх других и так далее. Для такого доверенного приложения, как Google Chrome, этот список выглядит не таким уж подозрительным – если уж пользователь поверил, что это легитимный браузер, то разрешения наверняка выдаст, даже не особенно вчитываясь в запрос.
После установки приложения зловред использует право на доступ к списку аккаунтов, чтобы узнать, какая учетная запись используется в данном устройстве. А после этого пользователю выводится сообщение – в окне поверх всех остальных, на это зловред также запрашивал право – о том, что с его аккаунтом что-то не в порядке и надо перелогиниться. Далее открывается страница, на которой пользователь должен ввести свое имя и дату рождения.
По всей видимости, впоследствии эти данные вместе с разрешениями на доступ к SMS, открывающим доступ к одноразовым кодам двухфакторной аутентификации, используются создателем Roaming Mantis для кражи аккаунтов Google.
Кроме того, Roaming Mantis умеет атаковать устройства, работающие под управлением iOS. Тут все происходит иначе, чем на Android. Вместо загрузки приложения вредоносный сайт сразу показывает предупреждение о том, что пользователю следует заново залогиниться в App Store – и показывает соответствующую страницу. При этом в адресной строке отображается вызывающий доверие адрес security.apple.com:
Причем в данном случае злоумышленники не стали ограничиваться кражей логина и пароля от Apple ID, и сразу после ввода этих данных требуют от пользователя ввести еще и номер банковской карты.
Ready, set, buy! Посібник для початківців - як придбати Copilot для Microsoft 365
| +11 голос |
|
